O Cloud IDS é um serviço de detecção de intrusões que fornece detecção de ameaças de invasões, malware, spyware e ataques de comando e controle na rede. O Cloud IDS cria uma rede de peering gerenciada pelo Google com instâncias de máquina virtual (VM) espelhadas. O tráfego na rede com peering é espelhado e depois inspecionado pelas tecnologias de proteção contra ameaças da Palo Alto Networks para oferecer detecção avançada de ameaças. É possível espelhar todo o tráfego ou o tráfego filtrado com base no protocolo, no intervalo de endereços IP ou na entrada e saída.
O Cloud IDS oferece total visibilidade do tráfego de rede, incluindo norte-sul e leste-oeste, para você monitorar a comunicação entre VMs e detectar o movimento lateral. Isso fornece um mecanismo de inspeção que inspeciona o tráfego dentro da sub-rede.
Também é possível usar o Cloud IDS para atender a requisitos avançados de compliance e detecção de ameaças, incluindo o PCI 11.4 e a HIPAA.
O Cloud IDS está sujeito ao Aditivo sobre processamento de dados do Cloud do Google Cloud.
O Cloud IDS detecta e alerta sobre ameaças, mas não toma medidas para evitar ataques ou reparar danos. Para tomar medidas em relação às ameaças detectadas pelo Cloud IDS, use produtos como o Google Cloud Armor.
As seções a seguir fornecem detalhes sobre os endpoints do SDI e a detecção de ameaças avançada.
Endpoints IDS
O Cloud IDS usa um recurso conhecido como endpoint do IDS, que é um recurso zonal que pode inspecionar o tráfego de qualquer zona na região. Cada endpoint do IDS recebe tráfego espelhado e realiza análises para detectar ameaças.
O acesso a serviços particulares é uma conexão particular entre sua rede de nuvem privada virtual (VPC) e uma rede de propriedade do Google ou de terceiros. No caso do Cloud IDS, a conexão privada conecta suas VMs às VMs pareadas gerenciadas pelo Google. Para endpoints do IDS na mesma rede VPC, a mesma conexão particular é reutilizada, mas uma nova sub-rede é atribuída para cada endpoint. Se você precisar adicionar intervalos de endereços IP a uma conexão particular, modifique a conexão.
É possível usar o Cloud IDS para criar um endpoint do SDI em cada região que você quer monitorar. É possível criar vários endpoints do SDI para cada região. Cada endpoint de IDS tem uma capacidade máxima de inspeção de 5 Gbps. Embora cada endpoint SDI possa lidar com picos de tráfego anormais de até 17 Gbps, recomendamos configurar um endpoint SDI para cada 5 Gbps de throughput que sua rede experimenta.
Políticas de espelhamento de pacote
O Cloud IDS usa Google Cloud o espelhamento de pacotes, que cria
uma cópia do tráfego de rede. Depois de criar um endpoint do SDI, é preciso anexar
uma ou mais políticas de espelhamento de pacotes a ele. Essas políticas enviam o tráfego espelhado
a um único endpoint do SDI para inspeção. A lógica de espelhamento de pacotes envia todo
o tráfego de VMs individuais para VMs do IDS gerenciadas pelo Google. Por exemplo,
todo o tráfego espelhado da VM1 e da VM2 é sempre enviado para IDS-VM1.
Detecção avançada de ameaças
Os recursos de detecção de ameaças do Cloud IDS são fornecidos pelas seguintes tecnologias de prevenção de ameaças da Palo Alto Networks.
ID do aplicativo
O ID do aplicativo (App-ID) da Palo Alto Networks oferece visibilidade dos aplicativos em execução na sua rede. O App-ID usa várias técnicas de identificação para determinar a identidade dos aplicativos que atravessam sua rede, independentemente da porta, do protocolo, da tática evasiva ou da criptografia. O ID do app identifica o aplicativo, fornecendo conhecimento para ajudar a proteger o app.
A lista de App-IDs é expandida semanalmente, com três a cinco novos aplicativos normalmente adicionados com base nas informações de clientes, parceiros e tendências de mercado. Depois que um novo ID do app é desenvolvido e testado, ele é adicionado automaticamente à lista como parte das atualizações diárias de conteúdo.
Confira as informações do aplicativo na página AMEs de IDS no console do Google Cloud.
Conjunto padrão de assinaturas
O Cloud IDS oferece um conjunto padrão de assinaturas de ameaças que podem ser usadas imediatamente para proteger sua rede contra ameaças. No console do Google Cloud, esse conjunto de assinaturas é chamado de perfil de serviço do Cloud IDS. É possível personalizar esse conjunto escolhendo o nível mínimo de gravidade do alerta. As assinaturas são usadas para detectar vulnerabilidades e spyware.
As assinaturas de detecção de vulnerabilidades detectam tentativas de explorar falhas do sistema ou conseguir acesso não autorizado aos sistemas. As assinaturas antispyware ajudam a identificar hosts infectados quando o tráfego sai da rede. Já as assinaturas de detecção de vulnerabilidades protegem contra ameaças que entram na rede.
Por exemplo, as assinaturas de detecção de vulnerabilidades ajudam a proteger contra estouro de buffer, execução ilegal de códigos e outras tentativas de explorar vulnerabilidades do sistema. As assinaturas de detecção de vulnerabilidade padrão fornecem detecção para clientes e servidores de todas as ameaças críticas, de alta e média gravidade conhecidas.
As assinaturas antispyware são usadas para detectar spyware em hosts comprometidos. Esse spyware pode tentar entrar em contato com servidores de comando e controle (C2) externos. Quando o Cloud IDS detecta tráfego malicioso saindo da rede de hosts infectados, ele gera um alerta que é salvo no registro de ameaças e mostrado no console do Google Cloud.
Níveis de gravidade de ameaças
A gravidade de uma assinatura indica o risco do evento detectado, e o Cloud IDS gera alertas para o tráfego correspondente. Você pode escolher o nível mínimo de gravidade no conjunto de assinaturas padrão. A tabela a seguir resume os níveis de gravidade de ameaças.
| Gravidade | Descrição |
|---|---|
| Crítico | Ameaças graves, como aquelas que afetam instalações padrão de software amplamente implantado, resultam em comprometimento raiz de servidores e em que o código de exploração está amplamente disponível para invasores. O invasor geralmente não precisa de credenciais de autenticação especiais ou de conhecimentos sobre as vítimas individuais, e o alvo não precisa ser manipulado para executar funções especiais. |
| Alta | Ameaças que podem se tornar críticas, mas há fatores atenuantes. Por exemplo, elas podem ser difíceis de explorar, não resultam em privilégios elevados ou não têm um grande pool de vítimas. |
| Médio | Pequenas ameaças em que o impacto é minimizado e não compromete o alvo ou explorações que exigem que um invasor resida na mesma rede local que a vítima, afetam apenas configurações não padrão ou aplicativos obscuros ou fornecem acesso muito limitado. |
| Baixo | Ameaças de alerta com pouco impacto na infraestrutura de uma organização. Elas geralmente exigem acesso ao sistema físico ou local e podem resultar em problemas de privacidade da vítima e vazamento de informações. |
| Informativa | Eventos suspeitos que não representam uma ameaça imediata, mas que são relatados para chamar a atenção para problemas mais profundos que podem existir. |
Exceções de ameaças
Se você decidir que o Cloud IDS gera alertas sobre mais ameaças do que o necessário,
desative os IDs de ameaça com ruídos ou desnecessários usando a
flag --threat-exceptions. É possível encontrar os IDs das ameaças
detectadas pelo Cloud IDS nos registros de ameaças. Você tem um limite de 99
exceções por endpoint SDI.
Frequência de atualização do conteúdo
O Cloud IDS atualiza automaticamente todas as assinaturas sem qualquer intervenção do usuário, permitindo que os usuários se concentrem na análise e resolução de ameaças sem gerenciar nem atualizar as assinaturas. As atualizações de conteúdo incluem o ID do aplicativo e assinaturas de ameaças, incluindo assinaturas de vulnerabilidade e antispyware.
As atualizações da Palo Alto Networks são coletadas diariamente pelo Cloud IDS e enviadas para todos os endpoints do SDI atuais. A latência máxima de atualização é estimada em até 48 horas.
Logging
Vários recursos do Cloud IDS geram alertas que são enviados para o registro de ameaças. Para mais informações sobre a geração de registros, consulte Gerar registros do Cloud IDS.
Limitações
- Ao usar políticas de inspeção L7 do Cloud Next Generation Firewall e políticas de endpoint do Cloud IDS, verifique se elas não se aplicam ao mesmo tráfego. Se as políticas se sobreporem, a política de inspeção L7 terá prioridade e o tráfego não será espelhado.
A seguir
- Para configurar o Cloud IDS, consulte Configurar o Cloud IDS.